As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitar a alternância automática de chave
<a name="rotating-keys-enable"></a>

Por padrão, quando você ativa a *rotação automática de chaves* para uma chave KMS, AWS KMS gera novo material criptográfico para a chave KMS todos os anos. Você também pode especificar um personalizado [rotation-period](rotate-keys.md#rotation-period) para definir o número de dias após ativar a rotação automática de chaves que AWS KMS girará o material da chave e o número de dias entre cada rotação automática a partir de então.

A alternância de chaves automática tem os seguintes benefícios:
+ As propriedades da chave do KMS, incluindo seu [ID de chave](concepts.md#key-id-key-id), [ARN de chave](concepts.md#key-id-key-ARN), região, políticas e permissões, não são alteradas quando há alternância na chave.
+ Não é necessário alterar aplicações ou aliases que fazem referência ao ID de chave ou ARN de chave da chave do KMS.
+ A alternância do material de chave não afeta o uso da chave do KMS em nenhum AWS service (Serviço da AWS). 
+ Depois de ativar a rotação da chave, AWS KMS gira a chave KMS automaticamente na próxima data de rotação definida pelo seu período de rotação. Você não precisa lembrar nem programar a atualização.

Você pode ativar a rotação automática da chave no AWS KMS console ou usando a [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operação. Para habilitar a alternância automática de chave, você precisará de permissões `kms:EnableKeyRotation`. Para obter mais informações sobre AWS KMS permissões, consulte [Referência de permissões](kms-api-permissions-reference.md) o.

## Usando o AWS KMS console
<a name="rotate-keys-console"></a>

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**. (Não é possível habilitar ou desabilitar a alternância de Chaves gerenciadas pela AWS. Elas são alternadas automaticamente a cada ano.)

1. Escolha o alias ou ID de chave de uma chave do KMS.

1. Selecione a guia **Key rotation (Rotação de chaves)**.

   A guia **Rotação de chaves** aparece somente na página de detalhes das chaves KMS de criptografia simétrica com o material de chave AWS KMS gerado (a **origem** é **AWS\$1KMS**), incluindo chaves KMS de criptografia simétrica [multirregional](rotate-keys.md#multi-region-rotate).

   Não é possível alternar automaticamente chaves do KMS assimétricas, chaves do KMS de HMAC, chaves do KMS com [material de chave importado](importing-keys.md) nem chaves do KMS em [armazenamentos personalizados de chave](key-store-overview.md#custom-key-store-overview). No entanto, é possível [alterná-las manualmente](rotate-keys-manually.md).

1. Na seção **Alternância automática de chaves**, escolha **Editar**.

1. Em **Alternância de chaves**, selecione **Habilitar**.
**nota**  
Se uma chave KMS estiver desativada ou pendente de exclusão, AWS KMS ela não rotacionará o material da chave e você não poderá atualizar o status da rotação automática da chave ou o período de rotação. Para atualizar a configuração de alternância automática de chaves, habilite a chave do KMS ou cancele a exclusão. Para obter mais detalhes, consulte [Funcionamento da alternância](rotate-keys.md#rotate-keys-how-it-works) e [Principais estados das AWS KMS chaves](key-state.md).

1. (Opcional) Digite um período de alternância entre 90 e 2.560 dias. O valor padrão é de 365 dias. Se você não especificar um período de rotação personalizado, AWS KMS alternará o material da chave todos os anos.

   Você pode usar a chave de RotationPeriodInDays condição [kms:](conditions-kms.md#conditions-kms-rotation-period-in-days) para limitar os valores que os diretores podem especificar para o período de rotação.

1. Escolha **Salvar**.

## Usando a AWS KMS API
<a name="rotate-keys-api"></a>

É possível usar a [API do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) para habilitar a alternância automática de chaves e visualizar o status atual da alternância de qualquer chave gerenciada pelo cliente. Estes exemplos usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

A [EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operação permite a rotação automática de chaves para a chave KMS especificada. Para identificar a chave do KMS nessa operação, use seu [ID de chave](concepts.md#key-id-key-id) ou [ARN de chave](concepts.md#key-id-key-ARN). Por padrão, a mudança de chaves está desabilitada nas chaves gerenciadas de cliente.

Você pode usar a chave de [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)condição para limitar os valores que os diretores podem especificar para o `RotationPeriodInDays` parâmetro de uma `EnableKeyRotation` solicitação.

O exemplo a seguir permite a rotação de chaves com um período de rotação de 180 dias na chave KMS de criptografia simétrica especificada e usa a [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operação para ver o resultado.

```
$ aws kms enable-key-rotation \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --rotation-period-in-days 180

$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyRotationEnabled": true,
    "RotationPeriodInDays": 180,
    "NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```